Microlab Hard S.L.

En cualquier empresa que trate datos personales, es imprescindible tener claro quién asume cada una de las funciones relacionadas con su gestión, control y supervisión. El Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos (LOPDGDD) establecen tres figuras clave: el responsable del tratamiento, el encargado del tratamiento y el delegado de protección de datos (DPD). Cada una tiene obligaciones distintas y un papel específico dentro del sistema de cumplimiento normativo.

En Microlab Hard  analizamos las diferencias entre estas figuras y explicamos qué implica cada rol en la práctica, para ayudar a las empresas a aplicar correctamente la normativa vigente y evitar sanciones por parte de la Agencia Española de Protección de Datos (AEPD).

Marco legal aplicable en España

Antes de analizar cada figura, es necesario tener presente qué normas regulan el tratamiento de datos personales en el entorno empresarial español. Las más relevantes son:

• Reglamento (UE) 2016/679, General de Protección de Datos (RGPD) : norma de aplicación directa en todos los Estados miembros de la Unión Europea, que define principios, derechos y obligaciones en materia de protección de datos.
• Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD): desarrolla y adapta el RGPD al ordenamiento jurídico español.
• Ley 34/2002, de Servicios de la Sociedad de la Información y del Comercio Electrónico (LSSI-CE): aplica a servicios prestados por vía electrónica, especialmente en relación con comunicaciones comerciales y uso de cookies.

Estas leyes definen los distintos roles implicados en el tratamiento de datos y establecen los límites de responsabilidad de cada uno.

Responsable del tratamiento

El responsable del tratamiento es el eje central en cualquier gestión de datos personales. Se trata de la figura que toma las decisiones fundamentales sobre la finalidad y los medios del tratamiento.

¿Quién es el responsable del tratamiento? 

Es la persona física o jurídica, entidad pública o privada, que decide para qué se van a utilizar los datos personales y cómo se van a tratar. Tiene el control directo sobre la información, define los procesos y establece las bases legales para su uso.

Principales obligaciones del responsable 

• Determinar la legitimación del tratamiento (por ejemplo, consentimiento, contrato o interés legítimo).
• Informar a los usuarios de forma clara sobre el uso de sus datos.
• Facilitar el ejercicio de los derechos reconocidos por el RGPD: acceso, rectificación, supresión, oposición, limitación y portabilidad.
• Adoptar medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos.
• Notificar cualquier violación de seguridad a la AEPD en los plazos establecidos.
• En su caso, designar un delegado de protección de datos.

Ejemplo habitual en el sector digital 

Una tienda online que gestiona su propia base de datos de clientes para enviar campañas de email marketing o tramitar pedidos actúa como responsable del tratamiento. Decide tanto la finalidad como el modo en que se gestionan los datos.

Encargado del tratamiento 

Cuando una empresa externaliza parte del tratamiento de datos, entra en juego la figura del encargado. Aunque interviene directamente en la manipulación de los datos, lo hace siguiendo las instrucciones del responsable.

¿Quién es el encargado del tratamiento? 

Es cualquier entidad o profesional que trata los datos personales por cuenta del responsable, sin tomar decisiones sobre el uso o la finalidad. Actúa como un prestador de servicios que accede a los datos únicamente para prestar la función que se le ha encomendado.

Obligaciones del encargado del tratamiento 

• Formalizar un contrato de encargo del tratamiento que detalle las instrucciones del responsable.
• No tratar los datos para fines propios ni más allá de lo estipulado en el contrato.
• Aplicar medidas de seguridad que garanticen la confidencialidad y la integridad de los datos.
• Obtener autorización previa para subcontratar a terceros.
• Asistir al responsable en el cumplimiento de sus obligaciones (por ejemplo, en la gestión de derechos de los usuarios).
• Suprimir o devolver los datos una vez finalice la prestación del servicio.

Ejemplo frecuente en entornos tecnológicos

Un proveedor de servicios de alojamiento web (hosting) que almacena bases de datos de usuarios por cuenta de un ecommerce actúa como encargado del tratamiento. No decide nada sobre el uso de los datos, pero los trata técnicamente según las instrucciones recibidas.

Delegado de Protección de Datos (DPD)

El delegado de protección de datos no participa directamente en el tratamiento, pero tiene un papel esencial de supervisión y asesoramiento. Es una figura clave para garantizar el cumplimiento normativo dentro de la organización.

¿Qué es un DPD y cuándo es obligatorio? 

El DPD es un profesional, interno o externo, que asesora a la empresa sobre el cumplimiento del RGPD y actúa como canal de comunicación con la AEPD. Su designación es obligatoria en los siguientes casos:

• Cuando el tratamiento lo realiza una autoridad u organismo público.
• Cuando la actividad principal de la empresa implica una observación habitual y sistemática de personas a gran escala (por ejemplo, plataformas de análisis de datos o publicidad segmentada).
• Cuando se tratan categorías especiales de datos (como salud, ideología o biometría) a gran escala.

Además, la normativa española prevé otros supuestos en los que es legalmente exigible esta figura, como los centros docentes, las empresas de seguridad privada o los centros sanitarios.

En otros casos, su nombramiento es voluntario, pero recomendable si la empresa quiere reforzar su estrategia de cumplimiento o mejorar su reputación digital.

Funciones del delegado de protección de datos 

• Informar y asesorar al responsable y al encargado del tratamiento sobre sus obligaciones legales.
• Supervisar el cumplimiento del RGPD y la LOPDGDD.
• Realizar auditorías internas y controles de protección de datos.
• Asistir en la elaboración de evaluaciones de impacto (EIPD).
• Ser el punto de contacto con la AEPD en caso de consultas o inspecciones.
• Promover la formación en protección de datos dentro de la organización.

Independencia y garantías del DPD

El delegado debe actuar con plena autonomía e independencia. No puede recibir instrucciones sobre el ejercicio de sus funciones, y la empresa está obligada a facilitarle los recursos necesarios para desempeñar su labor con eficacia. Además, no puede ser sancionado ni destituido por el cumplimiento de sus responsabilidades.

Por qué es importante diferenciar correctamente estas figuras 

Confundir los roles o no definirlos de forma adecuada puede tener consecuencias graves. Desde sanciones por parte de la AEPD hasta problemas contractuales con terceros o incumplimientos en el tratamiento de datos personales.

Identificar correctamente quién es el responsable, el encargado y el DPD permite:

• Establecer relaciones contractuales adecuadas con proveedores.
• Redactar textos legales claros, como políticas de privacidad y cláusulas de tratamiento de datos.
• Cumplir con los principios del RGPD en materia de transparencia y responsabilidad proactiva.
• Atender correctamente los derechos de los usuarios y las obligaciones frente a la AEPD.

Entender las diferencias entre responsable, encargado y delegado de protección de datos no es solo una cuestión técnica o legal: es una parte esencial de la gestión empresarial en entornos digitales. Cada figura tiene su función y su marco de actuación, y aplicarlas correctamente permite garantizar el cumplimiento normativo, proteger los datos personales y generar confianza entre los usuarios.

En Microlab Hard, ayudamos a las empresas a definir y organizar estos roles de forma clara, con soluciones adaptadas al entorno legal español y con el apoyo de profesionales especializados en privacidad y protección de datos. Si tu empresa trata datos personales y no tiene definidos estos perfiles, es momento de actuar. Contacta con nosotros sin compromiso.

Recientemente la Agencia Española de Protección de Datos (AEPD) ha dictado resolución contra la Fundación del Teatro Real, por vulneración del principio de minimización de datos, en el contexto de la venta de entradas a través de su página web.

El procedimiento sancionador fue iniciado tras la denuncia de un cliente que compró unas entradas a través del sitio web del Teatro Real y, al considerar excesiva la información solicitada de forma obligatoria durante el proceso de venta, decidió interponer una reclamación ante la AEPD.

Durante la instrucción del expediente, la AEPD pudo constatar que el Teatro Real requería como obligatorios los siguientes datos: nombre y apellidos, dirección de correo electrónico, teléfono móvil, fecha de nacimiento, dirección postal, código postal, país y número de pasaporte o DNI. Estos datos eran exigidos incluso cuando se trataba de compras de entradas sin servicios adicionales (por ejemplo, sin contratar seguros ni solicitar factura).

El Teatro Real argumentó que todos los datos solicitados eran necesarios para optimizar la experiencia del usuario, cumplir obligaciones contractuales y garantizar la seguridad en sus instalaciones. Sin embargo, la AEPD consideró que varias de esas finalidades no justificaban la recogida obligatoria de ciertos datos, en particular:

• DNI/Pasaporte, cuya exigencia se vinculaba con medidas de seguridad general (visitas de personalidades), pero sin una base legal suficiente ni indicación en la política de privacidad.
• Dirección postal, solicitada incluso sin necesidad de envío físico.
• Fecha de nacimiento, exigida de forma sistemática aunque sólo era relevante para acceder a tarifas especiales por edad.
• Código postal y país, recogidos con fines estadísticos, lo cual no justifica su obligatoriedad.

Además, la AEPD criticó que el proceso online exigiera más datos obligatorios que el presencial, sin justificación técnica ni legal para ello.

Proporcionalidad y principio de minimización de los datos

La AEPD concluyó que varios de estos datos no eran necesarios para la gestión de la compra de entradas y, por tanto, vulneraban el principio de minimización, reafirmando su criterio en la aplicación del RGPD: el tratamiento de datos debe ser proporcional y justificado por la finalidad concreta del tratamiento.

En este sentido, no basta con declarar que un dato es útil; es necesario justificar que es imprescindible para cumplir la finalidad concreta del tratamiento. La AEPD ya ha considerado en otras ocasiones excesivo solicitar datos como DNI, dirección postal completa, o número de teléfono móvil cuando no existe necesidad real o legal para ello.

Por su parte, el principio de minimización de datos consagrado en el Reglamento General de Protección de Datos (RGPD) exige que los datos personales tratados sean los adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que se recaban. Este principio se entrelaza con el de proporcionalidad, una garantía esencial en todo tratamiento de datos personales.

En el caso que nos ocupa, si el Teatro Real ofrece un canal presencial y otro digital (por ejemplo, venta de entradas), no puede exigir más datos por vía online si no existe una diferencia objetiva que lo justifique.

Buenas prácticas para el cumplimiento de la normativa

Para cumplir adecuadamente con estos principios, las organizaciones deben:

• Revisar las bases de datos y formularios actuales;
• Eliminar campos obligatorios que no sean estrictamente necesarios;
• Aplicar el principio de privacidad por defecto, recogiendo únicamente los datos mínimos para cumplir la finalidad;
• Documentar las evaluaciones de necesidad y proporcionalidad en los tratamientos;
• Actualizar las políticas de privacidad para reflejar la finalidad real y la naturaleza opcional de los datos no imprescindibles.

Conclusión

El caso de la Fundación del Teatro Real es ilustrativo de los retos a los que se enfrentan las empresas en la digitalización de sus servicios. La comodidad tecnológica no puede imponerse sobre los derechos de protección de datos de los usuarios, por lo que la recogida de información debe estar basada en los principios claros de necesidad, adecuación y proporcionalidad.

Desde Microlab Hard , ayudamos a empresas a adaptar su sitio web a las exigencias legales sobre cookies y consentimiento. Auditamos tu página para asegurar que el banner cumple con el RGPD, que no se instalan cookies sin autorización y que la información al usuario es clara, accesible y completa.

Si tienes dudas sobre si tu web solicita más información de la necesaria, contáctanos. Te asesoraremos para ajustar tus formularios, actualizar tu política de privacidad y evitar riesgos de sanciones, garantizando al mismo tiempo una experiencia de usuario sencilla, segura y respetuosa con la protección de datos.

La Agencia Española de Protección de Datos (AEPD) sanciona a RIUSA II, S.A, responsable del sitio web riu.com, por incumplir las obligaciones derivadas del RGPD y la LOPDGDD en materia de cookies. La infracción principal radica en la ausencia de un mecanismo efectivo de rechazo, así como en la instalación automática de cookies sin consentimiento informado del usuario.

Los hechos fueron puestos en conocimiento de la AEPD a través de la reclamación de un usuario, que denunció ante esta Agencia que el banner dispuesto en la mencionada página web no permitía la opción de rechazar o configurar las cookies.

Durante la investigación, la AEPD comprobó además que al entrar en la página web se instalaban cookies analíticas y publicitarias, con independencia de las opciones marcadas por el usuario en el banner. En definitiva, advirtió que el banner de cookies carecía de una opción para “rechazar” y únicamente ofrecía un “aceptar”, aunque se cargaban cookies no necesarias de forma automática, sin haber obtenido previo consentimiento válido del usuario.

Un marco jurídico estricto

El RGPD exige que el consentimiento sea libre, informado, específico e inequívoco. La práctica sancionada (donde no existe posibilidad de rechazo y el banner es ambiguo) incumple estos requisitos, pues el consentimiento debe otorgarse mediante un acto afirmativo, no implícito ni obligatorio para acceder al sitio web. Además, el hecho de omitir información clara sobre los terceros implicados y sus finalidades contraviene el principio de transparencia y el deber de información consagrados en el RGPD.

Por todo lo anterior, la AEPD calificó los hechos como una infracción del RGPD por tratar datos personales sin un consentimiento válido y no cumplir con las obligaciones de información. La sanción prevista fue de 5.000 euros, aunque finalmente se redujo a 3.000 euros tras aplicas las reducciones por pago voluntario de la sanción y reconocimiento de la responsabilidad.

Recomendaciones para un correcto cumplimiento de la normativa

• El responsable de la página web debe ofrecer mecanismos activos a los usuarios para aceptar o rechazar cookies, claramente diferenciados. Además, el usuario debe tener la capacidad de rechazar las cookies según sus finalidades y en bloque.
• No se deben instalar cookies hasta que el usuario acepte expresamente su uso. La mera navegación no constituye un consentimiento válido.
• Es imprescindible contar con una “primera capa” informativa que permita al usuario conocer la información básica del tratamiento, con un enlace al resto de información.
• Se debe garantizar la revocabilidad del consentimiento en todo momento, es decir, el usuario debe poder revocar o modificar su consentimiento de manera clara y sencilla.

La importancia de realizar una auditoría legal en el sitio web

La resolución PS‑00108/2021 es una llamada de atención para todas las webs que utilizan cookies. La AEPD aclara que el consentimiento no puede ser implícito, ambiguo o irreversible, y que el derecho a la privacidad exige herramientas técnicas y legales robustas que respeten los principios del RGPD.

Por todo lo anterior, se hace cada vez más necesario que las empresas se doten de un servicio de consultoría en esta materia que realice auditorías periódicas en la página web, especialmente tras cambios o actualizaciones en su estructura, contenido o funcionalidades. La web suele ser el primer punto de contacto entre la empresa y sus usuarios, y también el principal canal de recogida de datos personales (formularios, cookies, áreas privadas, etc.). Por ello, cualquier modificación puede tener implicaciones legales que deben ser evaluadas cuidadosamente. Una auditoría web permite verificar el cumplimiento de las últimas exigencias legales, identificar posibles incumplimientos (por ejemplo, en el uso de cookies, políticas de privacidad obsoletas o mecanismos inadecuados de obtención del consentimiento) y aplicar las medidas correctoras necesarias.

Desde Microlab Hard, ayudamos a empresas a adaptar su sitio web a las exigencias legales sobre cookies y consentimiento. Auditamos tu página para asegurar que el banner cumple con el RGPD, que no se instalan cookies sin autorización y que la información al usuario es clara, accesible y completa.

Si no estás seguro de si tu web respeta correctamente la normativa sobre cookies, contáctanos. Evaluaremos tu configuración actual y te propondremos mejoras técnicas y legales para evitar sanciones y garantizar una experiencia transparente para tus usuarios.